▲
- Criminosos usam aplicativos OAuth da Microsoft para invadir contas por meio de ataques de phishing sofisticados.
- Usuários são enganados por páginas falsas que solicitam permissões de aplicativos e interceptam códigos de autenticação.
- A vulnerabilidade afeta milhares de contas de ambientes do Microsoft 365, com sucesso em cerca de metade das tentativas.
- Reforçar filtros de e-mails maliciosos e monitorar acessos suspeitos são medidas essenciais para prevenção.
Um novo método de ciberataque está gerando discussões na área de segurança: ele combina aplicativos Microsoft OAuth e redirecionamentos para roubar credenciais corporativas. A empresa Proofpoint detalhou essa técnica em um relatório recente, destacando como ela induz vítimas ao comprometimento de contas. O objetivo principal é desviar as informações de acesso, inclusive aquelas protegidas por autenticação multifator.
Entendendo os Aplicativos Microsoft OAuth
Os aplicativos Microsoft OAuth usam o protocolo OAuth 2.0. Essa tecnologia permite que programas acessem recursos importantes, como APIs do Microsoft Graph, sem que você precise dar suas senhas diretamente a eles. É como se fosse uma ponte segura para a autorização, liberando permissões com base na sua confiança.
Esse modelo de acesso é considerado mais seguro e também bem prático. Ele evita que você precise fazer vários logins e facilita a conexão com outros produtos e serviços. Por isso, é muito usado em ferramentas conhecidas como RingCentral, SharePoint, Adobe e DocuSign. No entanto, alguns criminosos utilizam versões falsas dessas ferramentas como isca para seus golpes.
Para entender como um aplicativo OAuth funciona de forma legítima, pense em um processo simples. Primeiro, o aplicativo pede para ver seus dados ou acessar outros recursos protegidos. Em seguida, você é direcionado para o servidor de autorização da Microsoft para entrar com suas credenciais. Depois de fazer o login, você aprova as permissões que o aplicativo solicitou.
Com as permissões concedidas, um token de acesso é gerado. Esse token é a chave que o aplicativo usa para acessar os dados em seu nome, sem que ele precise saber sua senha. Esse fluxo garante que sua conta esteja protegida, pois o aplicativo só vê o que você autorizou e não suas credenciais completas.
Leia também:
Como Funcionam os Ataques com Microsoft OAuth
Os criminosos utilizam esse mesmo processo que acabamos de descrever, mas com intenções ruins. O ataque é bem estruturado e envolve várias etapas, além de técnicas de engenharia social para enganar as vítimas. Tudo começa com um e-mail falso que parece ser de uma fonte confiável.
Essas mensagens podem conter pedidos de orçamento ou contratos comerciais que parecem legítimos. Dentro do e-mail, há links que, na verdade, levam a vítima para uma página que é controlada pelos próprios atacantes. Essa página foi criada para se parecer com algo conhecido, como uma solicitação de permissão de um aplicativo comum.
Na página falsa, aparece um pedido para um aplicativo OAuth fraudulento ter acesso ao seu perfil. Se a vítima conceder essa permissão, ela é redirecionada para um desafio CAPTCHA, que é seguido por uma página falsa de verificação em duas etapas da Microsoft. É nesse ponto que o golpe fica mais perigoso, pois essa página falsa consegue interceptar o código de autenticação de dois fatores.
Ao roubar o código, a página associa o token ao cookie de sessão do usuário. Isso permite que os invasores consigam acesso total à conta da vítima. O mais preocupante é que, mesmo que a pessoa desconfie e não conceda as permissões iniciais ao aplicativo falso, o fluxo do golpe continua: o CAPTCHA e a página falsa da Microsoft ainda são exibidos, buscando obter as credenciais de maneira indireta. Esse roubo de cookies de sessão é feito através de uma ferramenta de Phishing-as-a-Service (PhaaS), conhecida como Tycoon.
Alvos dos Ataques e Prevenção
A Proofpoint revelou que, em 2025, aproximadamente três mil contas foram alvo desse tipo de ataque. Essas contas estavam espalhadas por mais de 900 diferentes ambientes do Microsoft 365, o que mostra a amplitude das campanhas. A taxa de sucesso desses ataques é um ponto de alerta: cerca de 50% das tentativas resultaram em invasões bem-sucedidas.
A empresa de segurança destaca que os criminosos estão criando estratégias de ataque cada vez mais elaboradas para conseguir contornar os sistemas de detecção e invadir organizações em todo o mundo. A Proofpoint prevê que as identidades dos usuários serão o foco principal desses ataques. O phishing AiTM (adversary-in-the-middle) está se tornando um padrão na indústria criminosa, o que exige atenção constante das empresas e usuários para proteger suas contas.
Para se proteger desses ataques cada vez mais complexos, a Proofpoint sugere algumas ações importantes. É essencial reforçar os filtros contra e-mails maliciosos e campanhas de phishing, que são a porta de entrada para muitos golpes. Além disso, é importante que as empresas revisem regularmente os dispositivos e aplicativos que estão autorizados nas contas corporativas.
Outra medida é implementar sistemas de monitoramento que possam detectar qualquer acesso estranho ou não autorizado a recursos protegidos. A educação dos usuários é fundamental, ensinando sobre os riscos do uso da autenticação multifator e como o OAuth funciona, para que possam identificar tentativas de golpe. Por fim, uma alternativa ainda mais segura ao MFA tradicional é considerar a adoção de chaves de autenticação física baseadas no padrão FIDO, que oferecem uma camada extra de proteção.
O monitoramento e a educação contínua são pontos cruciais para manter a segurança digital em dia. Entender como funcionam essas ameaças ajuda a criar um ambiente mais protegido para todos. Seguir as recomendações de especialistas é um passo importante para evitar que suas informações sejam comprometidas.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
